PKI 是一个数字证书系统,被认为是用户、设备和应用程序数字身份验证和加密的黄金标准。它有许多用于保护通信、保护数据。
- Web 服务器的 SSL/TLS 证书
- 适用于计算机、移动设备和 IoT 设备的设备和端点证书
- 代码签名证书,包括 DevOps 工作流程
- 数字签名
- 安全访问 API 和 Web 服务
- 基于证书的 VPN
PKI 基于公钥密码术,这是一种强大的加密机制,依赖于公钥和私钥对来工作。这两个对应的密钥一起用于加密和解密消息;它们基于加密算法来保护身份和数据免遭未经授权的访问或使用,防止来自网络犯罪分子和其他恶意行为者的攻击。
想要使用 PKI 的组织需要设置证书颁发机构和/或使用受信任的第 3 方 CA,例如 Sectigo。CA 负责证书的颁发、验证、吊销和更新,并保证系统内颁发的证书的真实性和可信赖性。
CA 必须构建和维护一个非常安全的基础架构来托管 PKI 环境。该基础架构包括根 CA、CA 根密钥在硬件安全模块 (HSM) 中的安全存储以及证书管理服务器。必须使用全面的网络和应用程序安全性来很好地保护基础设施。
作为 CA 是一项重大责任。如果黑客能够破坏 PKI 环境,他们基本上就拥有“城堡的钥匙”,并且可以冒充信任以访问关键业务系统而不被发现。鉴于此,组织通常依赖于专门从事 PKI 的受信任的第三方,或者他们寻求控制自己的私有 PKI 环境。
托管 PKI 基础架构有两种主要方式:在云中,即所谓的云 PKI,或在组织自己的本地数据中心中。